2011-05-08 181 views
8

撤銷證書有幾個原因,最流行的是私鑰泄露。如何處理根證書的撤銷?

我的問題是:
如果需要吊銷證書頒發機構的證書,會發生什麼?

這是否意味着所有它已簽署證書應該考慮撤銷?
這似乎是合理的,因爲CA將頒發新證書,因此新的密鑰對。

另一方面,到目前爲止,將撤銷並重新頒發特定CA已頒發的數百個證書的過程是什麼?

我對撤銷CA證書的後果感到困惑。
有人可以詳細說明嗎?

回答

0

否。如果CA證書被吊銷,它的簽發證書應該不再被視爲「簽名」。

+0

因此,在受損CA已發出證書的證書的部署中,更新這些證書的過程是什麼?是否有標準方法? – Cratylus 2011-05-08 21:52:29

8

不能撤銷信任(如根CA)證書,因爲它是自簽署的CA,因此不存在信任機制,通過它來驗證CRL。如果一個根CA受到損害,那就非常糟糕了:-)。您必須手動從商店中刪除CA(或者,如果這些根證書是這些分發包的一部分,則可以通過瀏覽器或操作系統更新來實現)。

撤消其證書由其中一個根CA頒發的CA意味着CA頒發的所有證書都不再有效。這發生在路徑處理期間,我們從我們試圖驗證的證書開始,然後建立一條路徑直到受信任的根目錄。該路徑中的每個證書都應檢查其各種路徑約束,並且應使用CRL(或其他機制)來確定它們是否已被吊銷。如果任何證書失敗,則整個路徑被認爲是無效的。

所以簡短的回答是,是的。如果CA證書被撤銷,它發佈的所有證書(等等)應視爲無效。

+0

所以在路徑構建中,路徑是從目標證書到信任錨點構建的。然後,撤銷檢查以相反的方式完成?從頂部(不包括信任錨)到目標證書? – Cratylus 2011-05-08 21:46:07

+0

另外,重新頒發CA頒發的所有證書的過程(實際上)是什麼? – Cratylus 2011-05-08 21:51:33

+0

當您執行路徑處理時,不會從目標/最終實體證書到根目錄執行CRL處理。重新頒發所有證書的唯一實際方法是撤銷CA,創建新的CA證書,然後爲每個實體頒發新證書。這是一個災難性的失敗,因此CA應該儘量不要取消他們的證書:-)。 – 2011-05-10 09:56:15

5

吊銷證書意味着:「雖然該證書的內容看起來很好,該證書不應該用」。這是一種「取消」證書上的加密簽名的方法。

使用證書(使用證書中包含的公共密鑰,即,例如作爲SSL連接的一部分),該證書必須經過驗證,這意味着該證書上的簽名必須相對覈實給公衆之前包含在CA證書中的密鑰。這意味着使用 CA證書,等等的簽名證書也必須進行驗證,依此類推,直至「根CA」,也被稱爲「信任錨」,這被假定爲始終驗證(它在任何正在進行驗證的軟件中都被硬編碼)。

如果CA證書被吊銷則不能使用(這是撤銷證書的一點:使之不再使用)。特別是,證書驗證不應該是能夠使用CA證書了。CA頒發的證書是而不是已撤銷:可能可以通過驗證另一個包含相同密鑰的CA證書:CA證書與任何其他證書一樣,它使用公鑰綁定名稱;沒有任何東西阻止了幾個不同的證書的存在,這些證書斷言了綁定,這在「橋CA」(通常用於使得一些證書可以相對於幾個信任錨來驗證)的情況下是正常情況。當然,如果的CA證書被吊銷,因爲CA私有密鑰被竊取,然後採取措施的明智之舉是撤銷發出所有證書即CA和證書由發出該CA將不再有人可以驗證。因此,總而言之,撤銷CA證書不會撤消該CA頒發的所有證書,但會阻止通過該CA驗證這些證書。

+0

1)所以結果是驗證路徑中斷了,所以頒發的證書將是「無用的」? 2)我不知道有一個情況,我們可以有多個證書相同的公鑰。在這種情況下,公鑰是相同的,但我認爲主題DN是不同的? – Cratylus 2011-05-09 11:41:20

+0

@ user384706:1)是的。 2)希望不是!證書將密鑰綁定到應該是密鑰所有者的名稱。你可能擁有的是相同的密鑰和相同的主題DN,但是不同的頒發者DN(這意味着兩個CA斷言「這是Bob的公鑰」,對於相同的Bob和相同的密鑰)。 – 2011-05-09 14:25:47

+0

在這種情況下,有多個驗證路徑,對嗎?因此,在一個簡化問題中,如果例如檢查證書X是否已被吊銷,並且使用證書X並且僅在驗證路徑中籤署證書Y,有沒有一個案例可以撤銷鏈中較高的證書,但我們可以得到例如來自OCSP響應者的證書X仍然正常? – Cratylus 2011-05-09 19:32:21